L’enjeu réel, en deux phrases
Une IA souveraine, c’est une IA dont vous gardez le contrôle juridique, opérationnel et technique. Le contraire, c’est une IA dont l’opérateur peut, à un moment, être contraint de remettre vos données à un État tiers — sans que vous le sachiez.
Pour la plupart des PME, le risque est théorique. Pour les cabinets EC, les collectivités, les entreprises industrielles avec du secret de fabrication, il est concret.
1. L’hébergement physique : où sont les serveurs
Le premier critère, le plus évident, le plus souvent menti. Demandez : “où sont les serveurs sur lesquels mes données sont stockées et traitées ?”. La bonne réponse est précise (un ou deux datacenters nommés, en France, opérés par un acteur français ou européen).
Une réponse vague (“Europe”, “OVH ou équivalent”, “datacenters partenaires”) doit déclencher une alerte. Demandez le nom du datacenter et la juridiction de l’opérateur.
2. La juridiction applicable au contrat
Le contrat doit être régi par le droit français, devant les tribunaux français. Une clause “droit de l’État de Delaware” sur un fournisseur “souverain” est un drapeau rouge.
Vérifiez aussi la nationalité de la société-mère. Une société française peut avoir une maison-mère américaine, ce qui suffit à exposer les données au Cloud Act (voir point 7).
3. Le modèle d’IA utilisé : open source ou boîte noire ?
Le moteur d’IA peut être :
- Open source (Mistral, Llama, Qwen et leurs variantes), hébergé chez un opérateur français.
- Propriétaire (OpenAI, Anthropic, Google), accédé via API.
Les fournisseurs vraiment souverains font tourner des modèles open source dans leur propre infrastructure. Les fournisseurs qui se contentent d’envelopper une API OpenAI ne le sont pas — vos données passent par leur infrastructure.
4. L’usage des données pour l’entraînement
Engagement contractuel attendu : “vos données ne servent jamais, et en aucun cas, à entraîner ou améliorer le modèle”.
Une formulation plus floue (“nous ne réutilisons pas vos données sans votre accord”) ouvre la porte à un usage opt-out caché dans les CGV.
5. Les journaux d’accès et d’audit
Vous devez pouvoir consulter, à tout moment, qui a accédé à quoi : opérateurs internes du fournisseur, utilisateurs côté client, intervenants en maintenance. Sans ces journaux, vous ne pouvez pas répondre à un audit ou une demande CNIL.
Un fournisseur sérieux fournit des journaux exportables, avec horodatage signé et durée de conservation paramétrable.
6. La réversibilité : ce qui se passe quand vous partez
Trois questions à poser avant de signer :
- Sous combien de jours puis-je récupérer toutes mes données dans un format exploitable ?
- Sous combien de jours mes données sont-elles totalement supprimées des serveurs et des sauvegardes ?
- Une attestation de destruction est-elle fournie ?
Réponses acceptables : 7 jours pour l’export, 30 jours pour la suppression complète, attestation systématique.
7. Le piège du Cloud Act et des juridictions extra-territoriales
Le Cloud Act (US, 2018) permet aux autorités américaines de demander à toute société américaine, ou filiale, de remettre des données même si elles sont stockées en Europe. Aucun fournisseur sous capitaux américains ne peut s’en affranchir, même avec des datacenters en France.
De même côté chinois (loi sur la cybersécurité de 2017). Pour une vraie souveraineté, il faut une chaîne 100 % française ou européenne, à toutes les étapes — capitaux, infrastructure, modèles, opérateurs.
Pour aller plus loin sur les questions à poser à votre fournisseur, voir Les questions essentielles à poser à votre fournisseur IA. Et notre page sécurité & RGPD détaille nos engagements.
Vingt minutes pour passer en revue, point par point, les sept critères ci-dessus sur votre fournisseur actuel ou pressenti. On vous dit où sont les drapeaux rouges.
Réserver une démo→